Ley Orgánica de Protección de Datos de carácter Personal

Le recordamos esquemáticamente lo establecido en la nueva normativa legal en el ámbito de la PROTECCION DE DATOS DE CARÁCTER PERSONAL, todo y que este punto se escapa a nuestro ámbito de conocimiento, formación y competencias, para que a partir de aquí, ustedes desarrollen con los técnicos especializados en este tema, su propio Sistema de Protección. 

1.- La NORMATIVA que afecta en todas sus disposiciones a TODOS LOS FICHEROS, sean automatizados (es decir, informáticos) o manuales (el archivo tradicional), se recoge en:

2.- Los NIVELES DE SEGURIDAD establecidos para los Ficheros:

2.1.- Ficheros de NIVEL BÁSICO (datos de carácter personal): El sistema de seguridad deberá desarrollarse en el llamado DOCUMENTO DE SEGURIDAD. Su confección debe tener en cuenta los siguientes puntos:

  • El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a él.
  • El documento deberá contener:
    • Ámbito de aplicación, con especificación de los recursos protegidos ( datos ).
    • Medidas, normas, procedimientos, reglas y estándares que garanticen el nivel de seguridad exigido en este Reglamento.
    • Funciones y obligaciones del personal.
    • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información (lo suele dar el informático de la empresa).
    • Procedimiento de notificación, gestión y respuesta ante las incidencias que puedan producirse ( Libro de incidencias ).
    • Procedimientos de realización de copias de respaldo y de recuperación de datos.
  • Deberá mantenerse actualizado y ser revisado siempre que se produzcan cambios.
  • El contenido deberá adecuarse a las disposiciones vigentes en esta materia.

El DOCUMENTO DE SEGURIDAD debe elaborarse y guardarlo a disposición de la AGENCIA DE PROTECCION DE DATOS (A.P.D., en adelante).

2.2.- Ficheros de nivel MEDIO (datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y cuando contenga un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo). En estos casos, además de las descritas anteriormente, se añaden:

  • Designación de RESPONSABLES DE SEGURIDAD encargados de coordinar y controlar las medidas del documento de seguridad.
  • AUDITORIA de procedimientos vigentes en esta materia, al menos cada 2 años.
  • CONTROL DE ACCESO FISICO. Se debe controlar no tan sólo el acceso a ficheros, sino también los locales donde éstos se encuentran.
  • REGISTRO DE INCIDENCIAS del responsable del fichero.
  • PRUEBAS CON DATOS REALES, que deberán estar protegidas.

2.3.- Ficheros de NIVEL ALTO (datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas). Además de las medidas anteriores:

  • La información (o su acceso) deberá estar cifrada o encriptada.
  • Se establecerá un REGISTRO DE ACCESO a los ficheros.

3.- LEGALIZACIÓN y LEGITIMACIÓN de los Ficheros:

3.1.- LEGALIZACIÓN: obligada comunicación a la Agencia de Protección de Datos de la existencia y características de los ficheros con información de carácter personal. Para ello hay que rellenar unos impresos al efecto. La A.P.D. no admite la “legalización de ficheros” que no estén previamente protegidos mediante las medidas de seguridad.

3.2.- LEGITIMACIÓN: es el CONSENTIMIENTO DEL AFECTADO, que debe ser inequívoco y:

  • Tácito: el contrato con una empresa (ámbito allí establecido).
  • Expreso: carta de cesión a terceros, que debe estar firmada.

4.- INFRACCIONES Y SANCIONES:

4.1.- La falta de legalización supone una INFRACCION LEVE y la sanción será multa de 100.000’- a 10.000.000’- ptas. por cada fichero no legalizado.

4.2.- El incumplimiento de la obligación de proteger los ficheros constituye INFRACCION GRAVE y la sanción será multa de 10.000.000’- a 50.000.000’- ptas. por cada fichero.

4.3.- El incumplimiento de la legitimación de los ficheros supone en todo caso INFRACCION GRAVE y la sanción es de 10.000.000’- a 50.000.000’- ptas. En casos especiales, como INFRACCION MUY GRAVE cuya sanción sería de 50.000.000’- a 100.000.000’- ptas.

5.- CÓDIGO TIPO:

La nueva Ley Orgánica contempla en el Art.23 la posibilidad de formular CÓDIGOS TIPO que “establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal”…. Éstos tendrán carácter de códigos deontológicos y deberán ser inscritos en el Registro General de Protección de Datos.

Se trata de establecer un DOCUMENTO DE SEGURIDAD ESTANDAR para su aplicación en un colectivo empresarial, profesional, territorial o sectorial, que será un punto de partida para adherirse a un sistema de implantación común, bastará con adaptarse sólo a las normas del sector en concreto. Con ello los empresarios estarán sometidos a unas normas que garantizarán la libre competencia y el respeto del derecho a la identidad de los afectados.